Problembehandlung bei der Co-Verwaltung: Automatisches Registrieren vorhandener Configuration Manager verwalteter Geräte bei Intune
Dieser Artikel hilft Ihnen, Probleme zu verstehen und zu beheben, die beim Einrichten der Co-Verwaltung auftreten können, indem Sie vorhandene Configuration Manager verwaltete Geräte automatisch bei Intune registrieren.
In diesem Szenario können Sie weiterhin Windows 10 Geräte mithilfe von Configuration Manager verwalten oder Workloads nach Bedarf selektiv in Microsoft Intune verschieben. Weitere Informationen zum Konfigurieren von Workloads finden Sie unter Supporttipp: Konfigurieren von Workloads in einer gemeinsam verwalteten Umgebung.
Vorbereitende Schritte
Bevor Sie mit der Problembehandlung beginnen, ist es wichtig, einige grundlegende Informationen zu dem Problem zu sammeln und sicherzustellen, dass Sie alle erforderlichen Konfigurationsschritte ausführen. Es hilft Ihnen, das Problem besser zu verstehen und die Zeit für die Suche nach einer Lösung zu verkürzen. Befolgen Sie dazu diese Checkliste mit Fragen vor der Problembehandlung:
- Verfügen Sie über die erforderlichen Berechtigungen und Rollen zum Konfigurieren der Co-Verwaltung?
- Welche Microsoft Entra Hybrididentitätsoption haben Sie ausgewählt?
- Was ist Ihre aktuelle MDM-Autorität?
- Haben Sie Microsoft Entra Connect installiert und konfiguriert?
- Haben Sie dem UPN, den Sie für die Konfiguration verwendet haben, eine Microsoft Entra ID P1- oder P2-Lizenz zugewiesen?
- Haben Sie den Benutzern Intune Lizenzen zugewiesen?
- Haben Sie Microsoft Entra Hybrideinbindung für verwaltete Domänen oder Verbunddomänen konfiguriert?
- Haben Sie die Einstellungen des Configuration Manager-Client-Agents für Microsoft Entra Hybrid join konfiguriert?
- Haben Sie die automatische Registrierung in Ihrem Intune Mandanten konfiguriert?
- Haben Sie die Co-Verwaltung in Configuration Manager aktiviert?
Die meisten Probleme treten auf, weil mindestens einer dieser Schritte nicht abgeschlossen wurde. Wenn Sie feststellen, dass ein Schritt übersprungen oder nicht erfolgreich abgeschlossen wurde, überprüfen Sie die Details der einzelnen Schritte, oder lesen Sie das folgende Tutorial: Aktivieren der Co-Verwaltung für vorhandene Configuration Manager-Clients.
Verwenden Sie die folgende Protokolldatei auf Windows 10 Geräten, um Probleme mit der Co-Verwaltung auf dem Client zu beheben:
%WinDir%\CCM\logs\CoManagementHandler.log
Problembehandlung bei der Konfiguration von Hybrid-Microsoft Entra
Wenn Probleme auftreten, die sich auf Microsoft Entra Hybrididentität oder Microsoft Entra Connect auswirken, lesen Sie die folgenden Anleitungen zur Problembehandlung:
- Behandeln von Problemen bei der Installation von Microsoft Entra Connect
- Beheben von Fehlern während der Microsoft Entra Connect-Synchronisierung
- Problembehandlung bei der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync
- Problembehandlung für Microsoft Entra nahtloses einmaliges Anmelden
- Problembehandlung bei Microsoft Entra Passthrough-Authentifizierung
- Behandeln von Problemen mit dem einmaligen Anmelden mit Active Directory-Verbunddienste (AD FS)
Wenn Probleme auftreten, die sich auf Microsoft Entra Hybrideinbindung für verwaltete Domänen oder Verbunddomänen auswirken, lesen Sie die folgenden Anleitungen zur Problembehandlung:
- Problembehandlung bei Microsoft Entra hybrid eingebundenen Geräten
- Problembehandlung von Geräten mit dem Befehl „dsregcmd“
Häufig auftretende Probleme
Clients haben die Richtlinie von Configuration Manager Verwaltungspunkt nicht erhalten, um den Registrierungsprozess mit Microsoft Entra ID und Intune
Dieses Problem tritt aufgrund eines Problems in Configuration Manager und nicht Intune auf. Sie können die Clientprotokolldateien verwenden, um solche Probleme zu beheben.
Der Configuration Manager-Client ist installiert. Das Gerät wird jedoch nicht bei Microsoft Entra ID registriert, und es werden keine Fehler angezeigt.
Dieses Problem tritt in der Regel auf, weil die Configuration Manager Client-Agent-Einstellungen nicht so konfiguriert sind, dass sie die Clients zur Registrierung anweisen.
Um das Problem zu beheben, vergewissern Sie sich, dass Sie die Schritte unter Konfigurieren von Clienteinstellungen zum Weiterleiten der Registrierung von Clients bei Microsoft Entra ID ausführen.
Der Configuration Manager-Client ist installiert, und das Gerät wurde erfolgreich bei Microsoft Entra ID registriert. Das Gerät wird jedoch nicht automatisch bei Intune registriert, und es werden keine Fehler angezeigt.
Dieses Problem tritt in der Regel auf, wenn die automatische Registrierung in Ihrem Intune Mandanten unter Microsoft Entra ID>Mobility (MDM und MAM)>Microsoft Intune falsch konfiguriert ist.
Um das Problem zu beheben, führen Sie die Schritte unter Konfigurieren der automatischen Registrierung von Geräten für Intune aus.
Sie können den Knoten für die Co-Verwaltung nicht unter Administration > Cloud Services in der Configuration Manager-Konsole finden.
Dieses Problem tritt auf, wenn Ihre Version von Configuration Manager älter als Version 1906 ist.
Aktualisieren Sie Configuration Manager auf Version 1906 oder höher, um das Problem zu beheben.
Microsoft Entra hybrid eingebundenen Geräte können sich nicht registrieren und fehler 0x8018002a
Wenn dieses Problem auftritt, bemerken Sie auch die folgenden Symptome:
Die folgende Fehlermeldung wird in den Anwendungs- und Dienstprotokollen>microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider> protokolliert Admin im Ereignisanzeige:
Automatische MDM-Registrierung: Fehler (Unbekannter Win32-Fehlercode: 0x8018002a)
Die folgende Fehlermeldung wird im Anwendungs- und Dienstprotokoll>Microsoft>Windows>Microsoft Entra ID>Betriebsprotokoll im Ereignisanzeige protokolliert:
Fehler: 0xCAA2000C Die Anforderung erfordert eine Benutzerinteraktion.
Code: interaction_required
Beschreibung: AADSTS50076: Aufgrund einer Konfigurationsänderung, die von Ihrem Administrator vorgenommen wurde, oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung für den Zugriff verwenden.
Dieses Problem tritt auf, wenn die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) erzwungen wird. Sie verhindert, dass der Configuration Manager Client-Agent das Gerät mithilfe der Anmeldeinformationen des angemeldeten Benutzers registriert.
Hinweis
Es gibt einen Unterschied zwischen aktivierter und erzwungener MFA. Weitere Informationen zu diesem Unterschied finden Sie unter Microsoft Entra Benutzerstatus der mehrstufigen Authentifizierung. Dieses Szenario funktioniert, indem MFA aktiviert ist, aber keine MFA erzwungen wird.
Verwenden Sie eine der folgenden Methoden, um das Problem zu beheben:
- Legen Sie MFA auf Aktiviert , aber nicht erzwungen fest. Weitere Informationen finden Sie unter Einrichten der mehrstufigen Authentifizierung.
- Deaktivieren Sie die MFA während der Registrierung in vertrauenswürdigen IP-Adressen vorübergehend.
Geräte können nach der automatischen Registrierung nicht synchronisiert werden
Ab Configuration Manager Version 1906 wird ein gemeinsam verwaltetes Gerät, Windows 10 Version 1803 oder höher ausgeführt wird, automatisch auf grundlage seiner Microsoft Entra Gerätetoken beim Microsoft Intune-Dienst registriert. Das Gerät kann jedoch nicht synchronisiert werden, und Sie erhalten die folgende Fehlermeldung unter Einstellungen>Konten>Auf Geschäfts-, Schul- oder Unikonto zugreifen:
Die Synchronisierung war nicht vollständig erfolgreich, da wir Ihre Anmeldeinformationen nicht überprüfen konnten. Wählen Sie Synchronisieren aus, um sich anzumelden, und versuchen Sie es erneut.
Wenn dieses Problem auftritt, wird die folgende Fehlermeldung in Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>protokolliert Admin melden Sie sich im Ereignisanzeige an:
MDM-Sitzung: Fehler beim Abrufen Microsoft Entra Tokens für die Synchronisierungssitzung Benutzertoken: (Unbekannter Win32-Fehlercode: 0xcaa2000c) Gerätetoken: (Falsche Funktion).
Die folgende Fehlermeldung wird im Anwendungs- und Dienstprotokoll>Microsoft>Windows>Microsoft Entra ID>Betriebsprotokoll im Ereignisanzeige protokolliert:
Fehler: 0xCAA2000C Die Anforderung erfordert eine Benutzerinteraktion.
Code: interaction_required
Beschreibung: AADSTS50076: Aufgrund einer Konfigurationsänderung, die von Ihrem Administrator vorgenommen wurde, oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung für den Zugriff verwenden.
Dieses Problem tritt auf, wenn MFA aktiviert oder erzwungen ist oder Microsoft Entra Richtlinien für bedingten Zugriff, die MFA erfordern, auf alle Cloud-Apps angewendet werden. Dies verhindert die Benutzerzuordnung mit dem Gerät im Portal.
Verwenden Sie eine der folgenden Methoden, um das Problem zu beheben:
- Wenn MFA aktiviert oder erzwungen ist:
- Legen Sie MFA auf Deaktiviert fest. Weitere Informationen finden Sie unter Deaktivieren der Legacy-MFA pro Benutzer.
- Umgehen Sie MFA mithilfe von vertrauenswürdigen IP-Adressen.
- Wenn Microsoft Entra Richtlinien für bedingten Zugriff verwendet werden, schließen Sie die Microsoft Intune-App aus den Richtlinien aus, die MFA erfordern, um die Gerätesynchronisierung mithilfe der Benutzeranmeldeinformationen zuzulassen.
Ein Microsoft Entra hybrid eingebundenes Windows 10 Gerät kann sich nicht bei Intune mit einem Fehler 0x800706D9 oder 0x80180023
Wenn dieses Problem auftritt, wird in der Regel die folgende Fehlermeldung unter Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>angezeigt Admin melden Sie sich im Ereignisanzeige an:
MDM-Registrierung: Fehler bei der OMA-DM-Clientkonfiguration. RAWResult: (0x800706D9) Ergebnis: (Unbekannter Win32-Fehlercode: 0x80180023).
MDM-Registrierung: Fehler bei der Bereitstellung. Ergebnis: (Unbekannter Win32-Fehlercode: 0x80180023).
MDM-Registrierung: Fehler (Unbekannter Win32-Fehlercode: 0x80180023)
Automatische MDM-Registrierung: Geräteanmeldeinformationen (0x80180023), Fehler (%2)
MDM-Registrierung aufheben: Fehler beim Senden einer Warnung zur Aufhebung der Registrierung an den Server. Ergebnis: (Falsche Funktion.).
MDM-Registrierung aufheben: Fehler beim Ändern des Starttyps dmwappushservice in "Bedarfsstart". Ergebnis: (Der angegebene Dienst ist nicht als installierter Dienst vorhanden.)
Dieses Problem tritt auf, wenn der dmwappushservice
Dienst auf dem Gerät fehlt. Führen Sie zur Überprüfung aus services.msc
, um nach diesem Dienst zu suchen.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Exportieren Sie auf einem funktionierenden Gerät, auf dem dieselbe Version von Windows 10 wie das betroffene Gerät ausgeführt wird, den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice
Melden Sie sich beim betroffenen Gerät als lokaler Administrator an, kopieren Sie die .reg-Datei auf das betroffene Gerät, und führen Sie sie dann mit der lokalen Registrierung zusammen.
Starten Sie das betroffene Gerät neu.
Löschen Sie die alte Microsoft Entra Registrierung, und aktualisieren Sie dann Gruppenrichtlinie.
Starten Sie das betroffene Gerät erneut neu. Das Gerät sollte in der Lage sein, sich bei Microsoft Entra ID zu registrieren und sich automatisch bei Intune zu registrieren.
Microsoft Entra Hybrideinbindung schlägt in einer verwalteten Domäne fehl und 0x801c03f2
Wenn Sie über eine Eingabeaufforderung auf dem Gerät ausführendsregcmd /status
, können Sie sehen, dass es in die Domäne eingebunden, aber nicht Microsoft Entra hybrid eingebunden ist. Die folgende Fehlermeldung wird in Anwendungs- und Dienstprotokolle>microsoft>Windows-Benutzergeräteregistrierung>> protokolliert Admin melden Sie sich im Ereignisanzeige:
Serverantwort: {"ErrorType":"DirectoryError","Message":"The public key user certificate is not found on the device object with id <DeviceID>".
Dieses Problem tritt in einer der folgenden Situationen auf:
- Das Geräteobjekt fehlt in Microsoft Entra ID.
- Das
Usercertificate
Attribut verfügt nicht über das Gerätezertifikat im lokales Active Directory oder Microsoft Entra ID.
Damit Windows 10 Geräteregistrierung in einer verwalteten Domäne funktioniert, muss das Geräteobjekt zuerst synchronisiert werden. Der Registrierungsprozess funktioniert wie folgt:
- Das Windows 10 Gerät wird zum ersten Mal gestartet, nachdem es in die lokale Domäne eingebunden wurde.
- Die Geräteregistrierung wird ausgelöst, und eine Zertifikatanforderung wird erstellt.
- Wenn die Anforderung erstellt wird, wird der öffentliche Schlüssel des Zertifikats im lokalen AD für das Geräteobjekt veröffentlicht. Dadurch wird das
Usercertificate
-Attribut für die Geräteobjekte aktualisiert. Gleichzeitig wird die signierte Geräteregistrierungsanforderung an Microsoft Entra ID gesendet. - Die Registrierung schlägt fehl, da Microsoft Entra ID das Geräteobjekt nicht authentifizieren oder die signierte Anforderung nicht überprüfen kann.
- Bei der nächsten Ausführung des Synchronisierungszyklus wird das Geräteobjekt gefunden, für das das
Usercertificate
Attribut aufgefüllt ist, und das Geräteobjekt wird mit Microsoft Entra ID synchronisiert. - Wenn der Registrierungsdienst das nächste Mal ausgelöst wird (dieser wird stündlich ausgeführt), sendet das Gerät eine neue Anforderung, die mit dem privaten Schlüssel signiert ist.
- Azure überprüft die Signatur in der Anforderung mithilfe des öffentlichen Zertifikats, das während des Synchronisierungszyklus von der lokalen Domäne empfangen wurde. Wenn Microsoft Entra ID die Signatur in der Anforderung überprüfen können, ist die Geräteregistrierung erfolgreich.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Stellen Sie im lokalen AD sicher, dass das
Usercertificate
Attribut aufgefüllt ist und über das richtige Zertifikat verfügt.Überprüfen Sie das Back-End-Geräteobjekt, und stellen Sie sicher, dass das
Usercertificate
Attribut vorhanden ist und aufgefüllt ist.Wenn das Zertifikat fehlt oder jemand das Zertifikat aus dem lokalen AD gelöscht hat (was wiederum das Zertifikat aus Microsoft Entra ID löscht), schlägt die Geräteregistrierung fehl. Gehen Sie auf dem Clientgerät wie folgt vor, um dieses Problem zu beheben:
Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann den folgenden Befehl aus:
dsregcmd /leave
Führen Sie aus
certlm.msc
, um den Zertifikatspeicher des lokalen Computers zu öffnen.Stellen Sie sicher, dass das von MS-Organization-Access ausgestellte Computerzertifikat gelöscht wird.
Starten Sie das Clientgerät neu, um eine neue Geräteregistrierung auszulösen.
Stellen Sie nach dem Neustart des Geräts sicher, dass der neue öffentliche Zertifikatschlüssel für das Geräteobjekt im lokalen AD aktualisiert wird. Wenn mehrere Domänencontroller vorhanden sind, stellen Sie sicher, dass das Attribut auf alle Domänencontroller repliziert wird.
Lösen Sie eine Deltasynchronisierung auf dem Microsoft Entra Connect-Server aus.
Nach Abschluss der Synchronisierung können Sie die Geräteregistrierung auslösen, indem Sie den Client neu starten, den
dsregcmd /debug
Befehl ausführen oder die geplante Aufgabe Automatic-Device-Join unter Workplace Join ausführen.
Fehler bei der automatischen Geräteregistrierung 0x80280036
Wenn dieses Problem auftritt, wird die folgende Fehlermeldung in Anwendungs- und Dienstprotokolle>Microsoft>Windows-Benutzergeräteregistrierung>> protokolliert Admin melden Sie sich im Ereignisanzeige an:
DeviceRegistrationApi::BeginJoin failed with error code( DeviceRegistrationApi::BeginJoin failed with error code: 0x80280036
Beschreibung:
Fehler bei der Initialisierung der Joinanforderung mit Exitcode: Das TPM versucht, einen Befehl auszuführen, der nur im FIPS-Modus verfügbar ist.
Dieses Problem tritt auf, wenn für den TPM-Chip auf dem Clientgerät der FIPS-Modus aktiviert ist. Der FIPS-Modus wird für die Azure-Geräteregistrierung nicht unterstützt oder empfohlen. Weitere Informationen finden Sie unter Warum wir den FIPS-Modus nicht mehr empfehlen.
Microsoft Entra Hybridjoin schlägt fehl mit fehler 0x80090016
Bei der Hybrid-Microsoft Entra Registrierung eines Windows 10 Geräts tritt ein Fehler auf, und Sie erhalten die folgende Fehlermeldung:
Ein Problem ist aufgetreten. Vergewissern Sie sich, dass Sie die richtigen Anmeldeinformationen verwenden und dass Ihre Organisation diese Funktion verwendet. Sie können dies erneut versuchen oder sich mit dem Fehlercode 0x80090016
Die Fehlermeldung von 0x80090016 keyset ist nicht vorhanden. Dies bedeutet, dass die Geräteregistrierung den Geräteschlüssel nicht speichern konnte, da auf die TPM-Schlüssel nicht zugegriffen werden konnte.
Dieses Problem tritt auf, wenn Windows nicht der Besitzer des TPM ist. Ab Windows 10 initialisiert das Betriebssystem automatisch und übernimmt den Besitz des TPM. Wenn dieser Prozess jedoch fehlschlägt, ist Windows nicht der Besitzer und führt zu dem Problem.
Um dieses Problem zu beheben, löschen Sie das TPM, und starten Sie das Clientgerät neu. Führen Sie die folgenden Schritte aus, um das TPM zu löschen:
Öffnen Sie die Windows-Sicherheit-App.
Wählen Sie Gerätesicherheit aus.
Wählen Sie Sicherheitsprozessordetails aus.
Wählen Sie Problembehandlung für Sicherheitsprozessor aus.
Klicken Sie auf TPM löschen.
Wichtig
Bevor Sie das TPM löschen, beachten Sie Folgendes:
- Das Löschen von TPM kann zu Datenverlusten führen. Sie verlieren alle erstellten Schlüssel, die dem TPM zugeordnet sind, und Daten, die durch diese Schlüssel geschützt sind, z. B. eine virtuelle intelligente Karte, eine Anmelde-PIN oder BitLocker-Schlüssel.
- Wenn BitLocker auf dem Gerät aktiviert ist, stellen Sie sicher, dass Sie BitLocker deaktivieren, bevor Sie das TPM löschen.
- Stellen Sie sicher, dass Sie über eine Sicherungs- und Wiederherstellungsmethode für alle Daten verfügen, die durch das TPM geschützt oder verschlüsselt sind.
Starten Sie das Gerät neu, wenn Sie dazu aufgefordert werden.
Hinweis
Während des Neustarts werden Sie möglicherweise von der UEFI aufgefordert, eine Schaltfläche zu drücken, um zu bestätigen, dass Sie das TPM löschen möchten. Nach Abschluss des Neustarts wird das TPM automatisch für die Verwendung durch Windows 10 vorbereitet.
Nach dem Neustart des Geräts sollte Microsoft Entra Hybrideinbindung erfolgreich sein. Führen Sie dsregcmd /status
den Befehl an einer Eingabeaufforderung aus, um dies zu überprüfen. Das folgende Ergebnis gibt einen erfolgreichen Join an:
AzureAdJoined : YES
DomainName : \<on-prem Domain name>
Weitere Informationen finden Sie unter Problembehandlung beim TPM.
Weitere Informationen
Weitere Informationen zur Behandlung von Problemen mit der Co-Verwaltung finden Sie in den folgenden Artikeln:
- Problembehandlung bei der Co-Verwaltung: Bootstrap mit moderner Bereitstellung
- Problembehandlung bei Workloads für die Co-Verwaltung
Weitere Informationen zu Intune und Configuration Manager Co-Verwaltung finden Sie in den folgenden Artikeln: